Criminali sfruttano falla critica Cisco prima della divulgazione: cosa devi sapere

Criminali sfruttano falla critica Cisco prima della divulgazione: cosa devi sapere

Criminali sfruttano falla critica Cisco prima della divulgazione: cosa devi sapere

Cosa è successo e perché dovresti preoccuparti

Un grave problema di sicurezza nel software Cisco Secure Firewall Management Center è stato sfruttato dai criminali informatici per più di 36 giorni prima che Cisco lo correggesse. Questo significa che i malfattori avevano accesso a un’arma potente mentre le organizzazioni erano ancora completamente vulnerabili.

La vulnerabilità, identificata come CVE-2026-20131, è stata scoperta da Amazon durante il monitoraggio delle attività sospette. I criminali del gruppo Interlock hanno iniziato a sfruttarla il 26 gennaio, ma Cisco ha rilasciato le correzioni solo il 4 marzo. Se la tua organizzazione utilizza Cisco Secure Firewall Management Center in versioni non aggiornate, devi applicare gli aggiornamenti di sicurezza immediatamente.

La soluzione rapida

Se gestisci infrastrutture Cisco:

  • Aggiorna subito il tuo Cisco Secure Firewall Management Center alle versioni patchate
  • Limita l’accesso all’interfaccia di gestione, evitando di esporla direttamente a Internet
  • Monitora i tuoi sistemi per segni di accesso non autorizzato
  • Contatta il supporto Cisco se non sei sicuro delle versioni installate

Chi è Interlock e cosa ha fatto

Interlock è un gruppo di ransomware emerso nel 2025 che si è specializzato nel colpire strutture critiche. Hanno compromesso ospedali, centri dialisi e strutture sanitarie, rubando dati sensibili di pazienti e interrompendo servizi medici vitali. Nel caso dell’ospedale Kettering, i criminali non solo hanno bloccato sessioni di chemioterapia, ma hanno anche pubblicato online i dettagli dei pazienti oncologici.

Il gruppo ha anche attaccato la città di Saint Paul, Minnesota, rubando 43 GB di file e forzando le autorità a dichiarare uno stato di emergenza nazionale.

Come Amazon ha scoperto l’attacco

I ricercatori di Amazon hanno individuato l’attività criminale attraverso MadPot, una rete di honeypot (trappole digitali) che registra il traffico di exploit. Ancora più importante, hanno scoperto un server di infrastruttura non configurato correttamente di Interlock che esponeva pubblicamente l’intero toolkit di attacco del gruppo. Questa scoperta ha fornito ai difensori di rete una visione dettagliata di come operano i criminali.

Il toolkit di attacco di Interlock: come operano i criminali

Il toolkit post-exploit di Interlock è sofisticato e multilivello:

Raccolta di informazioni

Un script PowerShell automatico raccoglie dati dettagliati sui computer Windows delle vittime, inclusi:

  • Dettagli del sistema operativo e hardware
  • Servizi in esecuzione e software installato
  • Configurazione dello storage e inventario delle macchine virtuali Hyper-V
  • Contenuti delle cartelle Desktop, Documenti e Download
  • Eventi di autenticazione RDP dai registri di Windows
  • Cronologia dei browser (segnalibri, credenziali salvate, estensioni) da Chrome, Edge, Firefox, Internet Explorer e browser 360

Tutti questi dati vengono compressi in archivi ZIP denominati per ogni host, indicando che lo script opera su più macchine contemporaneamente – un approccio tipico dei gruppi ransomware che preparano la cifratura su scala organizzativa.

Accesso persistente tramite trojan

Interlock utilizza diversi trojan di accesso remoto (RAT) personalizzati per mantenere il controllo sui sistemi compromessi. Un implant JavaScript nasconde la sua attività dai rilevatori di malware e raccoglie ulteriori informazioni tramite PowerShell e Windows Management Instrumentation. Questo implant:

  • Estrae identità di sistema, appartenenza al dominio, nome utente, versione del sistema operativo e contesto dei privilegi
  • Cifra questi dati
  • Li invia a server controllati dai criminali utilizzando connessioni WebSocket persistenti
  • Fornisce shell interattiva, esecuzione di comandi arbitrari, trasferimento bidirezionale di file e capacità proxy SOCKS5
  • Si aggiorna automaticamente e può auto-eliminarsi

Ridondanza strategica

Per garantire la persistenza anche se un implant viene rilevato, Interlock utilizza una seconda versione dello stesso implant scritta in Java, basata su librerie dell’ecosistema GlassFish. Questa strategia di ridondanza in due linguaggi di programmazione diversi garantisce ai criminali accesso continuativo anche se le difese rimuovono una delle porte di ingresso.

Ulteriori strumenti di evasione

Interlock ha anche distribuito:

  • Uno script Bash che configura server Linux come proxy HTTP inversi, esegue aggiornamenti di sistema, cancella i log ogni cinque minuti e garantisce persistenza al riavvio
  • File di classe Java personalizzati incluso un backdoor residente in memoria che intercetta richieste HTTP senza scrivere file su disco, evitando il rilevamento antivirus
  • Un beacon di rete leggero per verificare l’esecuzione del codice e confermare la raggiungibilità delle porte

Uso di software legittimo come copertura

I criminali hanno distribuito anche software legittimo per mimetizzare il loro traffico:

  • ConnectWise ScreenConnect per il controllo desktop remoto
  • Volatility, uno strumento open source di analisi forense della memoria
  • Certify, uno strumento open source di sicurezza offensiva utilizzato dai team di penetration testing per sfruttare errori di configurazione nei Servizi Certificati Active Directory

Questa strategia fornisce ai criminali “assicurazione”: se i difensori scoprono e rimuovono una porta di ingresso, ne rimangono altre disponibili.

Implicazioni per la sicurezza

Questo attacco dimostra che i criminali spesso trovano e sfruttano le vulnerabilità prima che i fornitori le scoprano ufficialmente. La finestra di 36 giorni tra lo sfruttamento iniziale e la divulgazione pubblica è un promemoria critico che le organizzazioni devono:

  • Assumere una postura di sicurezza proattiva
  • Implementare segmentazione della rete
  • Monitorare costantemente il traffico sospetto
  • Mantenere backup offline regolari
  • Implementare autenticazione multi-fattore su tutti i sistemi critici

Technical Deep Dive

Analisi tecnica di CVE-2026-20131

CVE-2026-20131 è una vulnerabilità di deserializzazione insicura (CWE-502) nella web interface di Cisco Secure Firewall Management Center. La vulnerabilità consente a un attaccante non autenticato e remoto di inviare un oggetto Java serializzato artigianale all’interfaccia di gestione, portando all’esecuzione di codice Java arbitrario con privilegi root.

Il vettore CVSS è AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H, con un punteggio di 10.0. Lo scope “Changed” (S:C) significa che il compromesso del Firewall Management Center può compromettere anche i dispositivi Firewall Threat Defense (FTD) gestiti.

Versioni interessate

Le versioni on-premises di Cisco Secure Firewall Management Center interessate includono:

  • Versioni 7.4.0 attraverso 7.4.5
  • Versioni 7.6.0 attraverso 7.6.4
  • Versioni 7.7.0 attraverso 7.7.11
  • Versione 10.0.0

Cisco Security Cloud Control (SCC), una soluzione SaaS, è stata aggiornata automaticamente da Cisco e non richiede azione dell’utente. Cloud-Delivered FMC non è interessata.

Mitigazione della superficie di attacco

Cisco ha esplicitamente notato che rimuovere l’accesso Internet pubblico dall’interfaccia di gestione FMC riduce significativamente la superficie di attacco associata a questa vulnerabilità. Le distribuzioni ad alto rischio sono istanze FMC le cui interfacce di gestione sono raggiungibili esternamente o esposte a reti non attendibili.

Correlazione con CVE-2026-20079

Questo attacco è strettamente correlato a CVE-2026-20079, un’altra vulnerabilità critica (CVSS 10.0) nella stessa interfaccia web. CVE-2026-20079 è un bypass di autenticazione (CWE-288) causato da un processo di sistema configurato in modo improprio al momento dell’avvio. Un attaccante può inviare richieste HTTP artigianali per eseguire script e comandi che consentono l’accesso root. Entrambe le vulnerabilità non hanno workaround disponibili.

Indicatori di compromissione tecnici

Secondo la ricerca di Amazon, gli indicatori di compromissione includono:

  • Binari ELF associati all’infrastruttura Interlock
  • Note di riscatto incorporate
  • Configurazione di portali di negoziazione TOR
  • Connessioni WebSocket persistenti a server di comando e controllo
  • Script PowerShell con schemi di denominazione specifici per l’output per host
  • File di classe Java con firme GlassFish

Raccomandazioni di hardening

Per le organizzazioni che gestiscono Cisco FMC:

  1. Applicare immediatamente le patch Cisco rilasciate il 4 marzo
  2. Implementare firewall di applicazione web (WAF) davanti all’interfaccia di gestione
  3. Abilitare il logging dettagliato di tutte le richieste all’interfaccia di gestione
  4. Implementare il monitoraggio comportamentale per rilevare pattern di accesso anomali
  5. Segmentare la rete in modo che il FMC sia isolato dai sistemi critici
  6. Eseguire auditi forensi sui sistemi FMC per rilevare accesso non autorizzato storico
  7. Implementare Endpoint Detection and Response (EDR) su tutti i sistemi che accedono al FMC

Fonte: https://go.theregister.com/feed/www.theregister.com/2026/03/18/amazon_cisco_firewall_0_day_ransomware/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto